JOURNAL OFFICIEL
DU GRAND-DUCHÉ DE LUXEMBOURG
MÉMORIAL A
N° 372 du 31 mai 2019
Loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du
Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de
sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant
1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de
l’État et
2° la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale.
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Notre Conseil d’État entendu ;
De l’assentiment de la Chambre des Députés ;
Vu la décision de la Chambre des députés du 15 mai 2019 et celle du Conseil d’État du 21 mai 2019 portant
qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
er
Chapitre 1 - Définitions et champ d’application
er
Art. 1 .
(1) Les exigences en matière de sécurité et de notification prévues par la présente loi ne s’appliquent pas
aux entreprises soumises aux exigences énoncées aux articles 45 et 46 de la loi modifiée du 27 février 2011
sur les réseaux et les services de communications électroniques ni aux prestataires de services de confiance
soumis aux exigences à l’article 19 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du
23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques
au sein du marché intérieur et abrogeant la directive 1999/93/CE.
(2) Lorsqu’une loi ou un acte juridique sectoriel de l’Union exige des opérateurs de services essentiels ou
des fournisseurs de service numérique qu’ils assurent la sécurité de leurs réseaux et systèmes d’information
ou qu’ils procèdent à la notification des incidents, à condition que les exigences en question aient un effet
au moins équivalent à celui des obligations prévues par la présente loi, les dispositions de cette loi ou de
cet acte juridique sectoriel de l’Union s’appliquent.
Art. 2.
Pour l’application de la présente loi, on entend par :
1° « Réseau et système d’information » :
a) un réseau de communications électroniques au sens de l’article 2, paragraphe 24, de la loi modifiée
du 27 février 2011 sur les réseaux et les services de communications électroniques ;
b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs
éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques ;
ou
c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux
lettres a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance ;
2° « Sécurité des réseaux et des systèmes d’information » : la capacité des réseaux et des systèmes
d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la
disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant
A 372 - 1